/dev/ad0s3d on /usr (ufs, local, soft-updates)

Другая весьма полезная возможность, нашедшая применение во FreeBSD 5.0, – это возможность создания списков доступа (acl) к файловым объектам. Любой, кто работал с системой безопасности WinNT, сталкивался с подобной технологией. Отличие списков доступа от традиционной системы защиты файлов Unix, когда все пользователи разграничиваются на владельца, группу владельца и всех остальных, в возможности задания определённым группам и/или пользователям собственных прав доступа. Это выглядит следующим образом:

n  традиционная схема –  rw-r-----

n  acls –  user:root:rw,group:wheel:r,user:wheel_adm:rw

в первом случае владелец имеет право чтения и записи, группа – право чтения, остальные доступа к файлу не имеют; во втором случае наблюдается похожая ситуация, но доступ на запись к файлу имеет не только владелец, но  и некий пользователь wheel_adm. На первый взгляд отличия не так велики, но система acls очень гибко управляет доступом к файлам, позволяя строить произвольные списки доступа, разграничивая права различных пользователей и групп.

Для включения поддержки acls нужно включить следущую опцию компилирования ядра:

options    UFS_ACL

(во FreeBSD 5 включена по умолчанию).

Разберемся, как управлять списками доступа на практике. Сразу же отмечу, что использовать acls лучше всего на UFS2-системе, т.к. она была разработана с учетом данной технологии, в отличие от UFS1, где использовать списки доступа можно, но не рекомендуется. Итак, чтобы включить acls на файловой системе, можно воспользоваться несколькими путями: использовать tunefs (наиболее надежный способ, но требуется размонтирование ФС):

# tunefs -a enable /dev/ad0s3d

использовать опцию монтирования acls (лучше всего прописать в /etc/fstab):

/dev/ad0s3d      /usr   ufs    rw,acls      1      1

Примечание: хотя об использовании этой опции говорится в FreeBSD Handbook, но у меня она (опция) отказалась работать наотрез – пришлось использовать tunefs в single-user mode (для использования tunefs корневой системы я использовал аварийный диск, т.к. иначе отмонтировать невозможно).

Для проверки введите mount без параметров:

cebka/usr/src$ mount